BKA Identifie les Leaders de REvil Derrière 130 Attaques
Les faits
La Bundeskriminalamt (BKA) a annoncé avoir identifié les principaux opérateurs derrière le ransomware REvil, et relié ces acteurs à au moins 130 attaques visant des structures en Allemagne¹. Cette annonce confirme des décennies d'efforts d'analyse technique et de coopération internationale pour démasquer les rôles au sein du groupe.
L'un des alias mis en avant par le BKA est "UNKN", un pseudonyme apparu sur les forums de cybercriminalité dès 2019. Selon les éléments publiés, UNKN ne s'est pas contenté d'apposer une signature : il a activement promu et organisé le modèle ransomware-as-a-service (RaaS) sur le forum XSS à partir de juin 2019, recrutant et mettant en relation des développeurs de malware et des affiliés chargés d'exécuter les attaques¹ ². En Allemagne, ce modèle a conduit à au moins 130 incidents recensés par les autorités ¹.
Les campagnes de REvil se sont intensifiées entre 2020 et 2021, période pendant laquelle le groupe a exploité massivement des vecteurs comme des accès Bureau à distance (RDP) mal protégés, des attaques par credential stuffing, des campagnes de phishing ciblées et l'abus d'outils d'administration légitimes. Pour monétiser leurs opérations, les opérateurs ont mis en place des portails de paiement en cryptomonnaies, structurés pour protéger à la fois développeurs et affiliés et rendre les poursuites plus complexes¹ ².
La méthodologie d'enquête du BKA a combiné des analyses techniques (journaux, adresses IP, tactiques, techniques et procédures - TTPs) avec des opérations internationales coordonnées visant l'infrastructure du groupe, une dynamique d'action qui prend racine dans les interventions menées en 2021-2022³.
Détails procéduraux et déroulement de l'enquête
Les forces allemandes ont exploité des corrélations entre communications publiques sur les forums, artefacts numériques tirés des victimes et renseignements partagés par des partenaires étrangers pour reconstituer la chaîne décisionnelle. Cette approche hybride - intelligence technique, recoupements judiciaires et coopération transnationale - a permis d'identifier des acteurs clés et de documenter le rôle d'intermédiaire joué par certains pseudos dans la facilitation des attaques² ³.
Contexte
REvil est apparu à la fin de 2018-début 2019 avec un modèle RaaS : les développeurs fournissaient le malware et l'infrastructure, tandis que des affiliés se chargeaient du déploiement contre partage des gains. Ce modèle a industrialisé la menace, en abaissant la barrière d'entrée pour de nouveaux opérateurs et en multipliant le volume des incidents ciblant entreprises, fournisseurs de services managés (MSP) et infrastructures critiques³.
L'attaque contre Kaseya en juillet 2021 reste emblématique : via un MSP compromis, REvil a pu atteindre potentiellement des centaines d'entreprises clientes, provoquant un effet de cascade majeur et déclenchant des opérations policières internationales destinées à démanteler les composantes techniques et financières du groupe³.
Depuis 2021, plusieurs opérations coordonnées ont perturbé les infrastructures de REvil, entraînant saisies, interruptions de services et poursuites ciblées. L'annonce du BKA s'inscrit dans ce cadre de pressions continues visant à réduire la capacité opérationnelle du groupe et à traduire en justice les responsables² ³.
Réactions et conséquences
La prise d'identité d'UNKN et des autres opérateurs a plusieurs implications pratiques :
- Pour les enquêtes, disposer d'identités publiques liées à des pseudos facilite les réquisitions judiciaires et la demande de coopération internationale, mais ne garantit pas automatiquement des arrestations si des acteurs opèrent depuis des juridictions peu coopératives ² ³.
- Pour les victimes, l'impact reste lourd : investigations post-incident, audits, notifications RGPD le cas échéant, coûts de remise en état et risques de fuite de données. Les entreprises concernées doivent s'attendre à des procédures administratives et judiciaires prolongées¹ ².
- Pour la cyberassurance, la tendance observée est une raréfaction des couvertures prenant en charge les paiements de rançon et une augmentation des primes pour les organisations exposées. Les assureurs exigent de plus en plus des preuves de mesures préventives robustes pour maintenir une couverture.
Sur le plan opérationnel, cet épisode rappelle des priorités simples mais souvent négligées : verrouiller les accès à distance, mettre en place une authentification multi-facteur (MFA) pour les accès à privilèges, segmenter les réseaux pour limiter la latéralisation et déployer des solutions de détection comportementale et d'EDR. Les sauvegardes doivent être immuables, isolées et régulièrement testées pour garantir une restauration rapide sans négociation de rançon¹ ².
L'effet dissuasif attendu d'annonces publiques comme celle du BKA doit être considéré avec prudence. Identifier et annoncer des intermédiaires complique la vie des opérateurs, mais le marché criminel a une forte capacité d'adaptation : d'autres acteurs ou structures de RaaS peuvent émerger pour remplacer les interrompus³.
Mesures opérationnelles recommandées
- Restreindre et surveiller l'accès RDP et VPN, fermer les ports non nécessaires et limiter les comptes pouvant s'y connecter¹ ².
- Exiger la MFA sur tous les accès administratifs et sensibles, et surveiller les tentatives d'authentification anormales.
- Segmenter le réseau et appliquer le principe du moindre privilège pour diminuer l'impact d'une compromission.
- Mettre en place des sauvegardes immuables et tester régulièrement les procédures de restauration; vérifier l'intégrité des copies hors ligne.
- Déployer et ajuster les règles SIEM/EDR pour détecter la reconnaissance réseau, les mouvements latéraux et les exfiltrations de fichiers.
- Mettre en place une gestion centralisée des comptes à privilèges (PAM) et des rotations de secrets pour réduire le risque d'abus d'outils légitimes.
- Préparer des procédures de crise incluant contacts avec les forces de l'ordre et communications réglementaires et clients.
Ces mesures ne garantissent pas l'immunité, mais elles réduisent significativement la surface d'exposition et le potentiel d'impact financier et opérationnel.
Enjeux juridiques et de coopération
L'opération du BKA illustre la nécessité d'une coopération judiciaire et technique étroite entre États et agences pour suivre les flux financiers, remonter aux opérateurs et procéder à des saisies ou des arrestations. Les percées de 2021-2022 ont montré qu'une coordination soutenue peut perturber durablement des infrastructures de ransomware, mais que la mise en accusation effective dépend des juridictions où opèrent les suspects² ³.
Les entreprises doivent donc continuer de signaler les incidents aux autorités compétentes, conserver des preuves techniques et collaborer avec les enquêteurs afin de faciliter les retracements et les actions judiciaires.
